Ngân hàng khi xử lý dữ liệu sinh trắc học của khách hàng để mở tài khoản thanh toán bằng phương thức điện tử thì có cần thông báo xử lý dữ liệu cá nhân không?
- Yêu cầu đối với biện pháp để nhận biết và xác minh khách hàng phục vụ việc mở tài khoản thanh toán bằng phương thức điện tử của ngân hàng được quy định như thế nào?
- Ngân hàng khi xử lý dữ liệu sinh trắc học của khách hàng để mở tài khoản thanh toán bằng phương thức điện tử thì có cần thông báo xử lý dữ liệu cá nhân không?
- Dữ liệu sinh trắc học của khách hàng được xếp vào dữ liệu cá nhân nhạy cảm hay dữ liệu cá nhân cơ bản?
Yêu cầu đối với biện pháp để nhận biết và xác minh khách hàng phục vụ việc mở tài khoản thanh toán bằng phương thức điện tử của ngân hàng được quy định như thế nào?
Theo quy định tại khoản 2 Điều 14a Thông tư 23/2014/TT-NHNN được bổ sung bởi khoản 6 Điều 1 Thông tư 16/2020/TT-NHNN thì:
Ngân hàng, chi nhánh ngân hàng nước ngoài được quyết định biện pháp, hình thức, công nghệ để nhận biết và xác minh khách hàng phục vụ việc mở tài khoản thanh toán bằng phương thức điện tử; chịu trách nhiệm về rủi ro phát sinh (nếu có) và phải đáp ứng các yêu cầu tối thiểu sau:
(1) Có giải pháp, công nghệ để thu thập, kiểm tra, đối chiếu, đảm bảo sự khớp đúng giữa thông tin nhận biết khách hàng, dữ liệu sinh trắc học của khách hàng với các thông tin, yếu tố sinh trắc học tương ứng trên giấy tờ tùy thân của khách hàng quy định tại khoản 1 Điều 12 Thông tư này hoặc với dữ liệu định danh cá nhân được xác thực bởi cơ quan nhà nước có thẩm quyền hoặc bởi tổ chức tín dụng khác hoặc bởi tổ chức được cung ứng dịch vụ định danh và xác thực điện tử;
Lưu ý: dữ liệu sinh trắc học của khách hàng là các yếu tố, đặc điểm sinh học gắn liền với khách hàng thực hiện định danh, khó làm giả, có tỷ lệ trùng nhau thấp như vân tay, khuôn mặt, mống mắt, giọng nói và các yếu tố sinh trắc học khác.
(2) Có biện pháp kỹ thuật để xác nhận việc khách hàng đã được định danh đồng ý với các nội dung tại thỏa thuận mở và sử dụng tài khoản thanh toán;
(3) Xây dựng quy trình quản lý, kiểm soát, đánh giá rủi ro, trong đó có biện pháp ngăn chặn các hành vi mạo danh, can thiệp, chỉnh sửa, làm sai lệch việc xác minh thông tin nhận biết khách hàng trước, trong và sau khi mở tài khoản thanh toán cho khách hàng; biện pháp để kiểm tra, xác minh thông tin nhận biết khách hàng đảm bảo khách hàng thực hiện giao dịch trên tài khoản thanh toán được mở bằng phương thức điện tử là chủ tài khoản thanh toán đó.
Trường hợp phát hiện có rủi ro, sai lệch hoặc có dấu hiệu bất thường giữa các thông tin nhận biết khách hàng với các yếu tố sinh trắc học của khách hàng hoặc phát hiện giao dịch đáng ngờ theo quy định của pháp luật về phòng, chống rửa tiền trong quá trình sử dụng tài khoản thanh toán, ngân hàng, chi nhánh ngân hàng nước ngoài phải kịp thời từ chối hoặc dừng giao dịch, tạm khóa hoặc phong tỏa tài khoản thanh toán và tiến hành xác minh lại thông tin nhận biết khách hàng.
Quy trình quản lý, kiểm soát rủi ro phải thường xuyên được rà soát, hoàn thiện dựa trên những thông tin, dữ liệu cập nhật trong quá trình cung ứng dịch vụ;
(4) Lưu trữ, bảo quản đầy đủ, chi tiết theo thời gian đối với các thông tin, dữ liệu nhận biết khách hàng trong quá trình khách hàng mở, sử dụng tài khoản thanh toán, như:
- Thông tin nhận biết khách hàng;
- Các yếu tố sinh trắc học của khách hàng;
- Âm thanh, hình ảnh, bản ghi hình, ghi âm;
- Số điện thoại thực hiện giao dịch; nhật ký giao dịch.
Lưu ý:
- Các thông tin, dữ liệu phải được lưu trữ an toàn, bảo mật, được sao lưu dự phòng, đảm bảo tính đầy đủ, toàn vẹn của dữ liệu để phục vụ cho công tác kiểm tra, đối chiếu, giải quyết tra soát, khiếu nại, tranh chấp và cung cấp thông tin khi có yêu cầu từ cơ quan quản lý nhà nước có thẩm quyền.
- Thời gian lưu trữ thực hiện theo quy định của pháp luật về phòng, chống rửa tiền.
Ngân hàng khi xử lý dữ liệu sinh trắc học của khách hàng để mở tài khoản thanh toán bằng phương thức điện tử thì có cần thông báo xử lý dữ liệu cá nhân không? (Hình từ Internet)
Ngân hàng khi xử lý dữ liệu sinh trắc học của khách hàng để mở tài khoản thanh toán bằng phương thức điện tử thì có cần thông báo xử lý dữ liệu cá nhân không?
Căn cứ tại Điều 13 Nghị định 13/2023/NĐ-CP về thông báo xử lý dữ liệu cá nhân
Thông báo xử lý dữ liệu cá nhân
1. Việc thông báo được thực hiện một lần trước khi tiến hành đối với hoạt động xử lý dữ liệu cá nhân.
2. Nội dung thông báo cho chủ thể dữ liệu về xử lý dữ liệu cá nhân:
a) Mục đích xử lý;
b) Loại dữ liệu cá nhân được sử dụng có liên quan tới mục đích xử lý quy định tại điểm a khoản 2 Điều này;
c) Cách thức xử lý;
d) Thông tin về các tổ chức, cá nhân khác có liên quan tới mục đích xử lý quy định tại điểm a khoản 2 Điều này;
đ) Hậu quả, thiệt hại không mong muốn có khả năng xảy ra;
e) Thời gian bắt đầu, thời gian kết thúc xử lý dữ liệu.
3. Việc thông báo cho chủ thể dữ liệu phải được thể hiện ở một định dạng có thể được in, sao chép bằng văn bản, bao gồm cả dưới dạng điện tử hoặc định dạng kiểm chứng được.
4. Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân không cần thực hiện quy định tại khoản 1 Điều này trong các trường hợp sau:
a) Chủ thể dữ liệu đã biết rõ và đồng ý toàn bộ với nội dung quy định tại khoản 1 và khoản 2 Điều này trước khi đồng ý cho Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân tiến hành thu thập dữ liệu cá nhân, phù hợp với các quy định tại Điều 9 Nghị định này;
b) Dữ liệu cá nhân được xử lý bởi cơ quan nhà nước có thẩm quyền với mục đích phục vụ hoạt động của cơ quan nhà nước theo quy định của pháp luật.
Như vậy, trước khi ngân hàng tiến hành xử lý dữ liệu sinh trắc học của khách hàng để mở tài khoản thanh toán bằng phương thức điện tử thì ngân hàng phải thông báo xử lý dữ liệu cá nhân.
Lưu ý: Ngân hàng không cần phải thông báo xử lý dữ liệu cá nhân khi tiến hành xử lý dữ liệu sinh trắc học của khách hàng để mở tài khoản thanh toán bằng phương thức điện tử trong trường hợp:
Chủ thể dữ liệu đã biết rõ và đồng ý toàn bộ với nội dung quy định tại khoản 1 và khoản 2 Điều 13 Nghị định 13/2023/NĐ-CP trước khi đồng ý cho Bên Kiểm soát dữ liệu cá nhân, Bên Kiểm soát và xử lý dữ liệu cá nhân tiến hành thu thập dữ liệu cá nhân, phù hợp với các quy định tại Điều 9 Nghị định 13/2023/NĐ-CP.
Dữ liệu sinh trắc học của khách hàng được xếp vào dữ liệu cá nhân nhạy cảm hay dữ liệu cá nhân cơ bản?
Căn cứ tại khoản 4 Điều 2 Nghị định 13/2023/NĐ-CP dữ liệu cá nhân nhạy cảm được định nghĩa như sau:
4. Dữ liệu cá nhân nhạy cảm là dữ liệu cá nhân gắn liền với quyền riêng tư của cá nhân mà khi bị xâm phạm sẽ gây ảnh hưởng trực tiếp tới quyền và lợi ích hợp pháp của cá nhân gồm:
a) Quan điểm chính trị, quan điểm tôn giáo;
b) Tình trạng sức khỏe và đời tư được ghi trong hồ sơ bệnh án, không bao gồm thông tin về nhóm máu;
c) Thông tin liên quan đến nguồn gốc chủng tộc, nguồn gốc dân tộc;
d) Thông tin về đặc điểm di truyền được thừa hưởng hoặc có được của cá nhân;
đ) Thông tin về thuộc tính vật lý, đặc điểm sinh học riêng của cá nhân;
...
Trong đó, như đã phân tích ở trên thì dữ liệu sinh trắc học của khách hàng là các yếu tố, đặc điểm sinh học gắn liền với khách hàng thực hiện định danh, khó làm giả, có tỷ lệ trùng nhau thấp như vân tay, khuôn mặt, mống mắt, giọng nói và các yếu tố sinh trắc học khác.
Theo đó, dữ liệu sinh trắc học của khách hàng được xếp vào dữ liệu cá nhân nhạy cảm theo quy định.
Quý khách cần hỏi thêm thông tin về có thể đặt câu hỏi tại đây.
- Biên tập viên hạng 1 lĩnh vực xuất bản chỉ đạo việc phối hợp giữa biên tập viên các bộ phận nào để bản thảo đi in đạt yêu cầu chất lượng xuất bản phẩm?
- Quán net được mở đến mấy giờ? Quán net không được hoạt động từ 22 giờ đến 8 giờ sáng hôm sau đúng không?
- Thành viên trong nhóm người sử dụng đất muốn chuyển nhượng đối với phần quyền sử dụng đất của mình thì xử lý như thế nào?
- Kinh phí khuyến công quốc gia đảm bảo chi cho những hoạt động khuyến công do cơ quan nào thực hiện?
- Người nộp thuế có được yêu cầu cơ quan quản lý thuế xác nhận việc thực hiện nghĩa vụ nộp thuế của mình không?